Geçen yıl Microsoft, kurumsal savunma paketi olan Microsoft 365 Defender’da otomatik saldırı bozma yeteneklerini duyurdu. Çarşamba günü, bu yeteneklerin artık kuruluşların iki yaygın saldırı senaryosunu bozmalarına yardımcı olacağını duyurdu: BEC (iş e-postası gizliliği) ve insan tarafından çalıştırılan fidye yazılımı saldırıları.
Reaksiyon hızı, saldırıları engellemek için çok önemlidir
Başlatılan siber saldırılara karşı hızlı bir savunma tepkisi, kuruluşlar için giderek daha önemli hale geliyor: IBM Security’nin X-Force ekibine göre, bir fidye yazılımı saldırısını tamamlamak için ortalama süre 2 aydan 4 günün altına düştü ve saldırganların çalışanları hedef alma oranı güvenliği ihlal edilmiş e-posta hesapları aracılığıyla ve mevcut e-posta ileti dizilerini kullanarak iki katına çıktı.
İdeal bir dünyada, tüm kuruluşlar doğru teknolojiye ve devam etmekte olan bir saldırının ilk işaretlerini tespit edebilecek iyi personele sahip bir güvenlik operasyon merkezine (SOC) sahip olacaktır. Bununla birlikte, bu kusurlu dünyada, SOC analistlerinin sayısı azdır, çok çalışır ve tükenmiştir, uyarılarla boğulmuştur ve bir yanlış pozitifler denizinde güçlükle ilerlemektedir – ve çoğu zaman çok önemli ipuçlarını çok geç bulmaktadır.
Birçok güvenlik satıcısına göre çözüm, otomasyondur. Microsoft’a göre, makine hızında otomasyon ve tepki.
BEC ve fidye yazılımı saldırısı kesintisi
Microsoft 365 Defender’ın otomatik kesinti eylemleri gerçekleştirdiği sinyaller, uç noktalardan, kimliklerden, e-postadan, işbirliğinden ve SaaS uygulamalarından toplanır. Daha sonra bir araya getirilirler ve otomatik olarak analiz edilirler ve – eğer yüksek düzeyde bir güven tesis edilirse – buna göre hareket edilirler.
Microsoft Kıdemli Ürün Müdürü Eyal Haik, “Amaç, kötü amaçlı etkinlikten sorumlu varlıkları işaretlemektir” diyor.
Mevcut genel önizlemede, otomatik saldırı engelleme yetenekleri şunları içerir:
- Saldırıyı gerçekleştiren kullanıcının Active Directory ve Azure AD’deki hesabının askıya alınması (kullanıcı, Kimlik için Microsoft Defender’a eklenmişse)
- Güvenliği ihlal edilmiş makineyle iletişim kurmalarını önleyen aygıtlar içerir (Endpoint için Defender kullanan ortamlarda mümkündür)
Gerçekleştirilen otomatik eylemlerle ilgili görsel ipuçları panoda açıktır ve daha da önemlisi, eylemler Microsoft 365 Defender Portalından geri alınabilir.
Güvenlik ekipleri, otomatik saldırı kesintisi için yapılandırmayı özelleştirebilir. Ayrıca, “otomatik eylemlerin bir ağın sağlığını olumsuz etkilememesini sağlamak için Microsoft 365 Defender otomatik olarak izler ve ağ açısından kritik varlıkları ve yerleşik istemci tarafı hataya karşı korumalı mekanizmaları kapsama yaşam döngüsüne dahil etmekten kaçınır.”